部 動作 を 解析 する 


DES 暗 


号 回 路 を 実測 し , 差分 電力 解析 を 行う 


ここ で は , 実際 に 暗号 LSI か ら デ ー タ を 収集 し , どの よう に し 
て 秘密 か ぎ が 抽出 され る か を 解説 する . 筆者 ら は , FPGA に 
DES (Data Encryption Standard) 暗号 回 路 を 実装 し , 差 
分 電力 解析 (DPA) を 行っ た . その 結果 , 数 千 サ ンプ ル の デー 
タタ から, 秘密 か ぎ 全 56 ビッ ト を 取り 出せ る こと が わか つた . 
な お , 今回 の 実験 は 使用 し た FPGA 固有 の 性 質 に よる も の で 
は な く , LSI が 動作 する 際 の 消費 電力 の 変動 や 電磁 波 の 放射 な 
ど , 一 般 的 な 現象 を 利用 し て いる . (編集 部 ) 


筆者 ら は , 実際 に DES 暗号 回 路 を 動作 させ て 消費 電力 と 
電磁 波 の 観察 を 行い, LSI の 漏えい 情報 を 解析 し て 秘密 か 
ぎ を 取り 出す 実験 を 行い まし た . ここ で は , 電力 や 電磁 波 
の 測定 が どの よう に 行わ れる の か , また 測定 波形 か ら ど の 
よう な こと が 分 析 で きる の か を 解説 し ます . 

サイ ド チャ ネル 攻撃 正規 の 入出 力 経路 以外 か ら の 情 


測定 ポイ ント の 例 : 図 
C1 て C4 の どれ か の FPGA 側 cc 側 : 1.2V) 
の 穴 に 電圧 プロ ー プ を あて る . ポイ ント に よ 
っ て 微妙 に 波形 は 違う 較 


[改造 : コン デン サ C1ーC4 を 外す 図 | cNp ) 


電源 電池 ポ ボックス) : 図 
単 3 乾電池 2 本 使用 . 安定 化 電源 が 使え 


報 を 利用 し た 攻撃 ) の 評価 用 と し て , 耐 タ ン パ 民 攻撃 に 対 
し て , 秘密 情報 の 守秘 や 機能 の 改変 を 困難 に する 性 質 ) に 
関す る 標準 化 の た め の 調 査 ・ 研究 を 行っ て いる INSTAC 
( Information Technology Reseach and Standardization 
Center ) な ど が 専用 評価 ボー ド を 開発 し て いま す . こう し 
た 評価 ボー ド に は , 高 性 能 な 電源 回 路 や コン デン が OS- 
CON や POSCAP な ど ) を 使っ て ノイ ズ を 抑 えた り , 電力 
( 電流 ) 測 定 用 に シャ ント 抵抗 を 実装 し て 精密 に 測定 で きる 
よう に く ぶ うさ れ た も の が あり ます が , 非常 に 高価 な うえ 
に 入手 も 困難 で す . 
DES 程度 の 小さ な 暗号 回 路 で 簡単 な 実験 を 行う に は , こ 
の よう な 専用 ボー ド より も , シン プル な 構成 の FPGA ボー 
ド が 適し て いま す . そこ で , 今回 の 実験 で は 本 誌 2005 年 1 
月 号 付属 の FPGA 基板 を 利用 し まし た . な お , この 実験 は 
FPGA XC3S50) に 固有 の 機能 や 性 質 に 依存 し た も の で は 


プロ ー ブ : 電圧 プロ ー ブ を 使用 . 較 
オプ ショ ン と し て 電磁 波 の 測定 用 に エナ 
メル 線 を 10cm ほ ど 使 用 し て , コイ ル 型 の 
アン テ ナ を 準備 する 図 


コン フィ グレ ーション 
ROM: 較 
これ が ある と , 圧倒 的 
に 実験 が 楽に な る 区 


クロ ッ ク : 図 Ao6 B06 
EXO3 を 搭載 較 。 こ 


る な ら ば , それ で も よい 較 


[ FPGA ボー ド : XC3S50 を 搭載 聞 


図 1 実験 環境 


図 に , 今回 の 実験 の た め に 行っ た FPGA 基板 の 改造 内 容 と 測定 環境 を まとめ る . 
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図 2 
DES の ルー プ ・ ア ー キ テク チャ 


中 間 デ ー タ を 保持 する た め の 64 ビ ッ ト の レジ 
スタ ( Drg), ラウ ンド か ぎ を ラウ ンド ご と に 生 
成 保 持 す る た め の 56 ビ ッ ト の レジ スタ ( Krg), 
ラウ ンド 制御 用 の レジ スタ ( Rrg) が あり , クロ 
ッ ク に 同期 し て 値 が 更新 され る . レジ スタ の 値 
が 変化 する と , Drg [33: 644 が EーXOR 一 S- 


Box つ P と 処理 され , Drg [1: 321] と XOR さ れ 


ぎ レ ジ ラウ ンド ・ 
か ぎ レ ジス タ 図 レジ スタ 
K 
レト 8 ト Rrg 
56 
16 
] <<<1 
M 
Knext 
①) : xoR 


た 後 , 次 の クロ ッ ク で Drg に 格納 され る . 


表 1 主要 部 品 


部 品 備 考 


本 誌 2005 年 1 月 号 付属 FPGA 基板 


FPGA 基板 


コン フィ グレ ーション ROM 使用 を 推奨 


クロ ッ ク 発 振 器 EXO3 16MHz) 内 部 分 周 し て 4MHz を 使用 


丸 ピ ン 1C ソ ケッ ト ( 1xX 20) CN2 と CN3 の 必要 部 分 に 使 


L 字 型 ヘッ ダビ 1X 40) CN1 と CN4 4 ピン , 6 ピン ) に 使用 


2 ピン ・ ソ ケッ ト 電池 ボッ クス の 端子 に 使用 


電池 ボッ クズ ( 単 3 2 本 入り ) 


sl ニュ | | | | | 軍 


電電 功 単 3) 


さ | 半 | 責 再 | 斗 半 | 画 責 | 其 | 閣 


電磁 波 測 定 友 オプ ショ ン ) 


エナ メル 線 


あり ませ ん . LSI が 動作 する 際 の 消費 電力 の 変動 や 電磁 波 
の 放射 と いう 一 般 的 な 現象 を 利用 し た も の で , ほか の デバ 
イス で も 同様 に 適用 可能 な も の で す . 


⑥⑪ サイ ド チ ャ ネル 攻撃 の た め の 汰 備 


以下 に , 今回 の 実験 の た め に 必要 な 準備 を 述べ ます . ま 
た , 表 1 と 図 1 に , 実験 で 使用 する お も な 部 品 と 改造 内 容 , 
そし て 測定 環境 を まとめ て お きま す . 


@ FPGA 量 板 を 準備 する 

まず , FPGA 基板 上 に クロ ッ ク 発 振 器 EXOS3 16MHz, 
DIP 8 ピン 型 )」 を 載せ ます . ここ で は , 観測 結果 が 良好 
で あっ た 内 部 分 周 の 4MHz を クロ ッ ク と し て 使い ます . 
EXO3 の 16MHz クロ ッ ク を FPGA 内 で 分 周 す る ほう が 自 
度 は 高い の で す が , 今回 は DES 以 外 の 回 路 を で きる だ け 
少な くす る た め に EXO3 で 内 部 分 周 し ます . も ちろ ん , 4 
MHz の クロ ッ ク ・ モ ジュ ー ル を 実装 し て も か まい ませ ん . 

クロ ッ ク 配 線 を 短く する た め に , EXO3 の cc と GND ピ 
ン を 少し 延ばし て コネ クタ CN3 上 に 載せ まし 図 1). た 
だ し , EXO3 の 仕様 で は 電源 電圧 は 5V 土 05V な の で , 33 
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V で の 使用 は 実験 目的 以外 で は 推奨 で きま せん . 

電源 は , FPGA 基板 の 仕様 で は 33V と な っ て いま す が , 
回 は 単 3 の 乾電池 を 2 本 直列 に つない で 使用 し ます . 比 
的 軽い 処理 と いう こと も あり , 筆者 の 手元 の 3 枚 の 基板 
で は 問題 な く 動作 し て いま す . スイ ッ チ ング ・ レ ギュ レー 
タ を 使用 し た AC ア ダ プ タ は 便利 で す が , 電源 ライ ン に ノ 
イズ が 入る た め , 今回 の 実験 に は 向き ませ ん . 低 ノ イズ の 
安定 化 電源 が 使え る の で あれ ば , そちら を 使用 する の も よ 
いで し ょ う . FPGA 基板 に は 3.3V レギ ュ レ ー タ 用 の パタ ー 
ン が あり ます が , これ は 使用 し ませ ん で し た . 

その ほか , 基板 に 用 意 さ れ た パタ ー ン に 従っ て , コン フ 
ィ グ レー ショ ン ROM U2②), 電源 供給 用 ヘッ ダ ・ ピ メ CN4, 
4 ピン , 33V 側 を 使う ), コン フィ グレ ーション 用 ヘッ ダ ・ 
ビ S>( CN1 6 ピン ), トリ ガ 出 力 用 モニ タ ・ ゼ ツ CN2 1 
ピン ) を 取り 付け ます . 


問 立 


@ FPGA に DES 回 路 を 実装 する 

DES 暗号 は , か ぎ を 変形 し な が ら ラ ウン ド 処理 を 16 回 
繰り 返し まず 詳細 は 第 2 章 を 参照 ). 図 2 に 示す よう に, 
今回 の 実装 で は 1 ラウ ンド 分 の デー タパス を 16 回 使用 する 
ルー プ ・ ア ー キ テク チャ と 呼ば れる 方 式 を と っ て いま す . 
また , サイ ド チャ ネル 攻撃 へ の 対策 や 特別 な 高速 化 は 行っ 
て いま せん . 

DES の ラウ ンド 処理 で LUIC look-up table) が 割り 当て 
られ る の は , XOR 排他 的 論理 和 ) と S-Box と セレ クタ で 
す . 拡大 転 置 記 や 32 ビ ッ ト 転 置 PC と いっ た ビッ ト の 転 置 は , 
単なる 配線 と な り ま す . XOR は 1 ビッ ト 当たり 1 個 の LUT 
を 使用 し ます . た だ し , Pout F 関 数 の 出力 ) と Drg [1: 3 
の XOR は , デー タ ・ レ ジス タ Drg の セレ クタ と 合成 され 
て 1 個 の LUT と な り ま す . また , S-Box は 6 ビッ ト 入力 , 
4 ビッ ト 出力 の 置換 テー ブル 八 つ で 構成 され , 図 3 の よう 


S-Box 入 ガ 6 ビッ ト ) 較 
5/2 S/3 S/4 575 


SO 
SO S-Box 出 ガ 4 ビッ ト ) 図 
SO1 


図 3 FPGA 上 の S-Box の 構造 


4 ビッ ト $。 ぉ て Sj は , それ ぞ れ 16 個 の LUT に 入力 され 
る . 16 個 の LUT か ら 出 力 され た 16 本 の 信号 は S/」 で 8 本 
に , さら に $S 太 で 4 本 に 絞ら れ て S-Box 出力 と な る . 


に 一 つの テー ブル 当たり 16 個 の LUT を 使用 し て 2 段 の マ 
ル チ プ レク が MUX) で 4 ビッ ト 出力 を 選択 する 構成 と な 
っ て いま す . 

図 4 に , DES の 制御 モジ ュー ル を 示し ます . 電源 ON と 
と も に , カウ ンタ に よっ て 内 部 生成 し た 平文 を 順次 暗号 化 
する 簡単 な も の で す . な お , 実験 で は 秘密 か ぎ は 
Ox0123456789abcdef に 固定 し て いま す . サイ ド チ ャ ネル 
攻撃 で は , オシ ロス コー プ な ど で 測 定 し た さま ざま な 情報 
と 暗号 文 ある い は 平文 ) か ら 秘密 か ぎ を 推定 し ます . 暗号 
文 64 ビ ッ ト の すべ て を FPGA 基板 か ら 出力 する に は 外部 
回 路 が 必要 な の で それ は 行わ ず , 別途 計算 し て お いた 暗号 
文 を 使用 し ます . 

リス ト 1 に DES コア ・ モ ジュ ー ル の Verilog HDL コー 


ド を 示し て お きま す *1. 


呈 


127 FPGA 基板 の 漏えい 情報 を 測定 する 


次 に , サイ ド チャ ネル 攻撃 に 有利 な デー タ を 取得 する た 
め の 基 板 の 改造 , お よび 消費 電力 と 電磁波 の 測定 に つい て 
解説 し ます . 


人 @ 消費 電力 の 測定 の 代わ り に 電圧 変動 を 測る 
消費 電力 の 時 系 列 変化 の 測定 法 と し て , GND 側 に 数 Q 
の 抵抗 を 直列 に 挿入 し , その 両端 に 発生 する 電位 差 を オシ 


14 22 
時 間 x 訴 較 
( a) 測定 波形 較 
図 5 バイ パス ・ コンデ ン サ が ある 状態 で の 電圧 波形 
( a) は , 普通 の 電圧 プロ ー ブ で 測定 し た 波形 で ある . ノイ ズ が 大 きく , どこ で DES が 動作 し て い 
る の か は 不明 . ( b) は , 波形 の 平均 を 求め た も の で ある . DES の 動作 を 目視 で きる . 


30 14 22 30 
時 間 ん 謀 較 
( b) 平均 値 較 


制御 モジ ュー ル 図 


オシ ロス コー プ 【 
の トリ ガ へ 図 


DES コ ア ・ モ ジュ ー ル 較 


図 4 DES の 制御 モジ ュー ル の 構成 


DES の 入力 と な る 平文 は , 制御 モジ ュー ル 内 の カウ ンタ で 生成 する . また , 
秘密 か ぎ は 固定 値 と する . DES の 出力 で ある 暗号 文 66 ビ ッ ト を すべ て OR 
し た 後 通常 1 に な る ), DES の 処理 開始 の タイ ミン グ を 知ら せる トリ ガ と 
XOR し て 1 の ピン に 出力 する . これ は , IO に 影響 し な い 回 路 が 論理 合成 ツ 
ー ル で 削除 され る の を 避け る た めで ある . 


ロス コー プ で 観測 する 手法 が よく 紹介 され て いま す . と こ 
ろ が 本 FPGA 基板 で は , FPGA の 10 本 の GND 端子 が さま 
ざま な 場所 で GND プレ ー ン に 接続 され , し か も 一 部 の パ 
ター ン は FPGA チッ プ の 下 に 入っ て いま す . これ に 対し て , 
ccy 側 は 4 本 の 端子 に 4 個 の バイ パス ・ コ ン デ ン サ が 付 
加 さ れ , その 先 は 1 本 の ライ ン で 1.2V 用 レギ ュ レ ー タ に つ 
な が っ て いま す . そこ で , この 1.2V 用 レギ ュ レ ー タ の 出力 
電圧 を オシ ロス コー プ で 測定 する こと に し まし た . 

図 & a) に , 図 1 の 測定 ポイ ント に お いて , オシ ロス コ 
ー プ の 電圧 プロ ー ブ で 測定 し た 波形 を 示し ます . この 図 で 
は , 大 き な リ プル が 発生 し て いる の が わか る だ け で す . 複 


注 1: リス ト 1 の ソー ス ・ コ ー ド ( お よび , 本 特集 第 2 章 の リス ト 1 の ソー 
ス ・ コ ー ド ) は , http://wwwr.aokieceitohoku.acjp/crypto/ か ら ダ ウ 
ン ロ ー ド で きる . また , http://Www.opencores.org/ で 公開 され て い 
る フリ ー の DES コ ユ コード で も 実験 可能 な の で , 読者 自身 の 手 で 試し て み 
る の も よい だ ろう . 
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リス ト 1 DE 


S コア ・ 


モジ ュー ル 


S-Box の 部 人 SP モジ ュー ル ) に つい て は , 第 2 章 の リス ト 1 を 参照 の こと 


modu1e DES (Din, 


1npu も 
1npu も 
Outpu も 
ュ npu も 
1npu も 
1npu も 
1npu も 
1npu も 
1npu も 
Output 
Output 


re 


63] , 


a881gdn 
8] , 
71 , 
6] , 
5] , 
4], 
3] , 
2], 
11] , 


a881gdn 


((( 


a881gdn 


a881dn 
PC2 [14] , 
PC2[ 3], 
PC2 [23] , 
PC2 [16] , 
PC2 [41] , 
PC2 [30] , 
PC2 [44] , 
PC2 [46] , 


): 


BSYrdz 
Dv1drg: 


Drg [40] , 
Drg[39] , 
Drg[38] , 
Drg[37] , 
Drg[36] , 
Drg [35] , 


[1 : 64] 
[1 : 64] 
[1 : 64] 
Drdy : 
Krdy: 
ENC: 
RSTn: 
EN: 
CLK: 
BSY: 
Dv1d: 


1:64 
1:56 
エ : ユ 6 


Drgz 
K エ dj 
RTd』 


:64] TP: 
PC1 , 
Kadd, 


POu 七 


50], 
52], 
に 0 
56] , 
49] , 
51] , 
53] , 
5 。 


Dou = 


Drg[34] , 
Drg[33] , 


BC1 = 
Key [49 
Key[58 
Key[ 2 
Key [11 
Key [55 
Key [62 
Key[ 6 
Key [13 


Kmex 二 = 
Rrg [1] 
Krg [2 :28] , 
Krg [3 : 28] , 


Dout , 


BC2 , 
81n: 


ンー( 科 期 転 具 P で 64 ピ ッ ト の 入力 デー タ を か き 


Din [42] , 
Din [44] , 
Din [46] , 
Din [48] , 
Din [411 , 
Din [43] , 
Din [45] , 
Din [47] , 


| レー ズ デー タ 出力 時 の 最終 転 置 IP-! ] 


Drg [16] , 
Drg [15] , 
Drg [141 , 
Drg [131 , 
Drg [121 , 
Drg [111 , 
Drg [10] , 
Drg[ 91, 


(ENC == 
Rrg [2] 


Krq [1 
Krq [1 


Rrg [8] 


Drqdy , Krdy, ENC, RS8Tn, EN, CLK, BSY, DV19) : 
Data 1npu 

Key 1npu 

Data output 

Data npu ready 

Key 1nput readqy 

1 enoryption, 0 decryption 
Rege (Low ac1Ve ) 

DES ciroui enab1e 

System c1ock 

Busy 81gna1 

Data outpu ヒ 上 Ya11d 


Data regd1ste エ 
Key Reg1ster 
Round Reg1gter 


0 WATT, 1 ROUND (busy) 


Knext : 


混ぜ る 
Din [2 
Din [4 
Din [6 
Din[8 
Din [1 
Din [3 
Din [5 
Din [7 


Din [34] , 
Din [36] , 
Din [38] , 
Din [40] , 
Din [33] , 
Din [35] , 
Din [371 , 
Din [39] , 


Din [26] , 
Din [28] , 
Din [30] , 
Din [32] , 
Din [25] , 
Din [27] , 
Din [29] , 
Din [31] , 


Din [18] , 
Din [201 , 
Din [22] , 
Din [24] , 
Din [17] , 
Din [19] , 
Din [211 , 
Din [23] , 


Din [10] , 
Din [12] , 
Din [14] , 
Din [16] , 
Din[ 9], 
Din [11] , 
Din [13] , 
Din [15] , 


Drg[48] , 
Drg[47] , 
Drg[46] , 
Drg [45] , 
Drg [44] , 
Drg[431 , 
Drg[421 , 
Drg [411 , 


秘密 か ぎの 初期 転 置 PC1. 64 ビ ッ ト 入力 の うち , 
パリ ティ の 8 ビッ ト は ここ で 捨て られ る 較 

Key [33 Key [25] , Key[17] , Key[ 9], 

Key [42 Key [34] , Key[26] , Key[18] , 

Key [51 Key [43] , Key[35] , Key[27] , 

Key [60 Key [52] , Key[44] , Key[36] , 

Key [39 Key [31] , Key[23] , Key [15] , 

Key [46 Key [38] , Key[30] , Key[22] , 

Key [53 Key [45] , Key[37] , Key[29] , 

Key[28 Key [20] , Key[12] , Key[ 4] 


Drg [241 , 
prg [231 , 
prg [221 , 
Drg [211 , 
Drg [201 , 
Drg [19] , 
Drg [18] , 
prg [17] , 


Drg [56] , 
Drg [55] , 
Drg [54] , 
Drg [53] , 
Drg [52] , 
Drg [511 , 
Drg [50] , 
Drg[49] , 


Drg[321 , 
Drg [311 , 
Drg [30] , 
Drg[291 , 
Drg[281 , 
Drg [271 , 
Drg [26] , 
Drg[251 , 


Drg [64 
Drg [63 
Drg [62 
Drg [61 
Drg [60 
Drg [59 
Drg [58 
Drg [57 


48 ビ ッ ト に 拡大 し た 後に ラウ ンド か ぎ を XOR 


assign Sin = {= 
Drg [64] , Drg[33 : 37] , Drg[36 :41] , Drg[40:45] , 
Drg [44 :49] , Drg [48 :53] , Drg[52 : 57] , Drg [56 : 61] , 
Drg [60 : 64] , Drg[33] 
) ^ Kadd: 


OO 


ラウ ンド か ぎ と の XOR 後 , 
S-Box 変 換 と 転 置 P を 実行 . 
Pout は F 関 数 出力 と な る 較 


SP SP (Sin, Pou 七 ) : 
a881gn BSY = 


a881gn DvV1d = 


BSYrdz 
Dv1drg: 


a1way8 @(posedge CLK) 
FE (RSTn == 0) begin 
RTr す <= 16 b1000000000000000: 


Dara 。。o| 16 ラ ウン ド の 処理 は 16 ビ ピット の 
シフ ト ・ レ ジス タ で 制御 較 
e1ge 1F (EN == 1) 

FE (BSYrqg == 0) 
1 (Krdy == 1) 
Krd <= PC1: 
(Drdy == 1) 
BSYrd 
Dv1qdrg <= 0: 
Dr <= TP』 
end 
end 
e1se begin  // Roun 
Drg <= {Drg[33 : 64] , Drg [1:32] 
Kr <= Kmnex モ : 
Rrg <= {Rrg[16] , Rrg[1:15] ) : 
FE (Rrg[16] == 1) begin 


BSYrgd <= 0: 
DydEg = 3 シフ ト に よっ て Rrg 1]= 
end 1 っ Rr ま 16]=1 と な れ ば , 
end 16 ラ ウン ド が 終了 図 
end 
end 


endmodu1e 


begin 


begin 


begin  // Tdqle 


ュ 1E begin 
た 関数 出力 を デー タ ・ レ ジス タ 図 
の 半分 Dr き 1: 32] に XOR し , 
左右 の 32 ビ ッ ト を 入れ 替え て 凶 
Drg に ラッ チ 罰 


人 半 


ノ 


^ Pou】 


EC==1 で 晴 号 化 . レ ジス タ Rrg が 示す ラウ ンド に 応じ て , 
9 か ぎ ス ケ ジ ュ ー ル の シフ ト 量 を 変え る 図 


1) 


Rrg [9] Rrqd [16] ) == 1)? 

, Krg[30 : 56] , Krg[29] } : 

:2] , Krg[31:56] , Krg[29:30] } ) : 
Rrg[15] | Rrg[16] ) == 1)? 


Krg [28] , Krg [1 :27] , Krg[56] , Krg[29:55] ) : 
Krg [27:28] , Krg[1:26] , Krg[55:56] , Krg[29:54] } ) : 


PC2 = 


Kadd = {= 


(ENC ==1) ? Kmext: 


KT エ d』 


PC2 [17] , 
PC2 [28] , 
PC2 [19] , 
PC2[ 7], 
PC2 [52] , 
PC2 [40] , 
PC2 [49] , 
PC2 [42] , 


EC2 [11] , 
PC2 [15] , 
PC2 [12] , 
PC2 [27] , 
PC2 [31] , 
PC2 [51] , 
PC2 [39] , 
PC2 [50] , 


イラ ウン ド か ぎ 出 力 時 の 56 ビ ピット つ 48 ビ ピッ ト 縮 約 転 置 PC2 ) 


PC2 [24] , 
PC2[ 6] , 
PC2[ 4], 
PC2 [20] , 
PC2 [37] , 
PC2 [45] , 
PC2 [56] , 
PC2 [36] , 


PC2[ 1], 
PC2 [21] , 
PC2 [26] , 
PC2 [13] , 
PC2 [47] , 
PC2 [33] , 
PC2 [34] , 
PC2 [29] , 


PC2[ 5], 
PC2 [10] , 
PC2[ 8], 
PC2[ 21, 
PC2 [55] , 
PC2 [48] , 
PC2 [53] , 
PC2 [32] 
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数 の 波形 を 平均 する と , 図 & b) の よう に DES の ラウ ンド 
処理 が 波形 と し て 現れ て きま す . 平均 する と , DES 動 作 時 
の 波形 が 見 える の で , 原理 的 に は 本 FPGA 基板 に 差分 電力 
解 酸 DPA : differential power analysis) を 適用 で きま 
す . し か し 現実 問題 と し て , 図 5 の 状態 で は 高 性 能 な オシ 
ロス コー プ で 精度 の 高い 測定 を 行わ な か いか ぎり 解析 は 難し 
いで し ょ う . 

そこ で , この リプ ル を 抑え , か つ 電 圧 変動 の 高周波 成分 
が カッ ト され る の を 人 避け る た め , 基板 上 に 実装 され て いる 
バイ パス ・ コ ン デ ン サ 1 C4 を 取り 外し ます . する と 図 
6 に 示す よう に , 波形 を 平均 し な く て も DES 動 作 が 電圧 変 
動 と し て わか る よう に な り ま す . な お , この 状態 で は 
FPGA が 正常 動作 する 保証 は あり ませ ん が , 今回 の 実験 で 
は 問題 あり ませ ん で し た . 


人 @ 電磁 波 の 測定 に は ルー プ ・ ア ン テ ナ を 用 いる 

電界 プロ ー ブ や 磁界 ある い は 電流 ) プロ ー ブ と 呼ば れる 
セン サ を 用 いて , 電磁 渡 を 電圧 に 変換 し て オシ ロス コー プ 
で 測定 する 方 法 が あり ます . その た め の 高 精度 な 測定 シス 
テム も 販売 され て いま す . 

し か し , これ ら を 使用 する まで も な く , 写真 1 の よう な 
手 巻き の ルー プ ・ アンテナ を 使っ て , DES 動 作 中 の 電磁 波 
を きれ い に と ら え る こと が で きま ず 図 7). ルー プ ・ ア ン 
テ ナ に よる 電磁 波 の 検出 方 法 は , EMG electromagnetic 
compatibihty) /EMI electromagnetic interference) 対策 
時 の 簡易 な 手段 と し て よく 紹介 され て いま す . また , サイ 
ド チャ ネル 攻撃 の 実験 で も いく つか 報告 が あり ます 

電磁 波 の 測定 で は , 電圧 測定 の よう に バイ パス ・ コ ン デ 


30 6 


22 
時 間 x 翌 図 


図 6 バイ パス ・ コ ン デ ン サ を 外し た 電圧 図 7 電磁 波形 


波形 電磁 波 プ ロー ブ の 場合 


平均 化し な く て も DES 動作 時 の 電圧 変動 が は っ 
きり と わか る . 


14 22 
時 間 ん 翌 較 


バイ パス ・ コ ン デ ン サ 


ST を 盗聴 6 か ら 守 る 


二 号 回 路 ペ の サイ ド チ や ネル 攻撃 ど その 対策 


ン サ を 外す 必要 は あり ませ ん . 一 方 で , 電磁 渡 は FPGA 基 
板 上 の 位置 に よっ て 受信 で きる 波形 が 異な る た め , DES 動 
作 を 反映 し た 波形 を 受信 で きる よう に 微 調整 が 必要 で す . 
アン テ ナ が 1mm ずれ て も 振幅 が 大 きく 変わ る た め , 調整 
に は ある 程度 の 根気 が 要り ます . 


3 FPGA 基板 の 電圧 変動 を 観察 する 


電力 解析 攻撃 を 行う 前 に , まず FPGA 基板 の 電圧 変動 の 
よう す を 観察 し , 測定 が うま くい っ て いる か どう か を 調べ 
て み ま し ょ う . 

8 の 上 側 の 波形 は , DES 動 作 時 の 電圧 変動 を 表し ます . 
の こぎ り の 歯 の よう に 見 える 部 分 が ラウ ンド 処理 に 対応 し 


昌和 、 胡 、 守 志 波 シー ルド ( アル ミホ イル ) 図 
So 


写真 1 手 巻き ルー プ ・ ア ン テ ナ に よる 電磁 波 プ ロー ブ 
プロ ー ブ を FPGA 基板 に か ざし た よう す . 銀色 の 柄 は 周囲 の 電磁 波 を シー ルド 
する た め の ア ルミ ホイ ル . 


30 


8 DES 動作 時 の 電圧 変動 


が 付い て いて も DES の 動作 を 観察 で きる . 図 の 上 側が DES 動作 全体 の 電圧 変動 を , 下 側が ラ 
ウン ド 処理 の 部 分 を 拡大 し た も の を 表す . 
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て いま す . 図 8 の 下 側 は , その 16 ラ ウン ド 目 の 前 後 を 拡大 
し た も の で す . 電圧 が 急激 に 低下 し て いる 区 間 は , デー 
タ ・ レ ジス タ Drg と か ぎ レ ジス タ Krg が 更新 され , 組み 合 
わせ 回 路 が 動作 し て いる 部 分 で す . 組み 合わ せ 回 路 の スイ 
ッ チ ング が 終わ る と , キャ パシ タン ス が 徐々 に 充電 され て 
電圧 が 回 復 し ます . クロ ッ ク を 速く する と , 前 回 の 電圧 変 
化 が 回 復 する 前 に 次 の 処理 が 始ま る た め , の こぎ り 波 が 斜 
め 下 に ずれ て いき ます . これ を 回 避 し , か つ 計 測 時 間 が 短 
く な る ちょ うど 良い クロ ッ ク と し て , 今回 は 4MHX 250 
ns) を 選択 し まし た . 

な お , 図 8 の 波形 で 山 の 数 を 数 える と 17 個 あり ます が , 
最後 の 一 つ は デー タ ・ レ ジス タ Drg に 最終 結果 を ラッ チ し 
て Dout と し て 出力 する 際 に , Drg の 変化 に つら れ て ラウ 
ンド 処理 部 も 動作 する た めで す . 


@⑯ 16 ラ ウン ド 目 の ビッ ト 変 化 で 電圧 変動 を 確認 する 
CMOS 回 路 の 電力 の 大 半 は ゲー ト の スイ ッ チ ング 時 に 消 

費 さ れ ま す . そこ で , 次 の よう な ケー ス に お ける 平文 を 求 

め , この 二 つ を 入力 と し た と き の 電 圧 変動 を 調べ まし た . 


1) 関数 の 入力 で ある Drg [33: 64] が 16 ラ ウン ド 目 で 
まっ た く 変化 し な い 場 合 
2) 16 ラ ウン ド 目 で 全 ビ ッ ト 変化 する 場合 


図 9 か ら , 1) の 場合 は 電圧 変動 が 少な く , 2) の よう に 
Drg [33: 64] の 変化 が 大 きい と き に は 電圧 変動 も 大 きく な 
る こと が わか り ま す . この 特徴 を 利用 し て , 電圧 波形 を 観 
察し な が ら 変 動 が 最小 と な る 平文 を 探し 出す こと で , ラウ 
ンド か ぎ を 求め る 能動 的 な 攻撃 が 可能 で ある と いう 報告 


図 9 入力 パタ ー ン の 違い に よる DES の 16 ラウ ンド 目 の 波 形 の 比較 
赤い 線 で 囲ん だ 部 分 が 16 ラ ウン ド 目 に 対応 する 電圧 変動 . 上 側が レジ スタ 
Dr# 33: 64] が 変化 し な い 場 合 の 波形 . 下 側が Dr# 33: 64] が 全 ビ ッ ト 反転 
し た 場合 の 波形 . 
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され て いま す . これ は 単純 電力 解析 SPA : simple power 
analysis) の 一 種 で す が , 決し で 単純 な 攻撃 」 で は あり ま 
せん . 平文 を うま く 選択 する に は 暗号 アル ゴリ ズム を 熟知 
し , デバ イス の 特徴 も 詳細 に 把握 し て いる と いう 高い スキ 
ル が 要求 され ます . 

これ に 対し て , これ か ら 行 う DPA で は , LSI が 外部 に 出 
力 する 暗号 文 と 動作 波形 だ け を 用 いた 受動 的 な 攻撃 が 可能 
で す . つま り , DPA アル ゴリ ズム と 呼ば れる 一 定 の 手順 
に 従い , 暗号 文 と 測定 デー タ を 統計 処理 する だ け で 秘密 か 
ぎ を 導出 で きる の で す . 

DPA で は 特殊 な パタ ー ン の 中 間 デ ー タ を 生成 する 平文 の 
選択 は 不要 で あり , 入力 は 任意 の 値 で か まい ませ ん . その 
場合 , Drg [33: 64] の 各 ビ ッ ト は ほぼ 1/2 の 確率 で ラン ダ 
ム に 変化 する の で , Drg [33: 644 の ビッ ト ・ パ ター ン は 
16 土 数 ビッ ト の 範囲 で 変化 し ます . それ に 応じ て , 図 9 の 
電圧 も ゆれ 動き ます . そこ で , た くさ ん の 波形 を 集め る こ 
と で 特定 ビッ ト の 変化 に 依存 し た 変動 量 を 抽出 し よう と い 
う の が DPA で す . 


念 測定 デー タ の 収集 と 差分 グラ フ に よる 確認 
DES の 入力 を 0~^ 4095 ま で 順番 に イン クリ メン ト さ せ 
な が ら 4096 個 の 測定 デー タ を 収集 し , パソ コン に 保存 し 
ます . これ を 解析 し て か ぎ を 導出 する わけ で す が , その 前 
に ちょ っ と ズル を し て , 内 部 状態 実験 な の で FPGA に セ 
ッ ト し た か ぎ を 用 いて 計算 で きる ) か ら 測 定 が うま く いっ 
て いる か どう か を 簡単 な 統計 処理 で 確認 し て み ま し ょ う . 
第 ヵ ラ ウン ド に お いて , Drg[33: 644 の ビット 目 が 反転 す 
る か し な いか に よっ て 測定 デー タ を 2 グル ー プ に 分 け て , そ 


6 図 7 図 8 図 9 図 10 較 11 図 12 較 13 図 14 図 15 式 | 6 図 17 図 
時 間 ラウ ンド ) 図 
図 10 第 8 て 16 ラ ウン ド の 差分 グラ フ 


横 軸 は ラウ ンド 数 , 縦 軸 は 差分 グラ フ で 注目 し た ラウ ンド . 第 カラ ウン ド の 
差分 グラ フ は , カラ ウン ド を 実行 し て いる と き に だ け 大 きく 変化 する . 


ST を 和光 聴 6 か ら 守る 


れ ぞ れ を 平均 し た 後に , その 2 グル ー プ の 平均 の 差 を と っ た 現れ た 測定 デー タ を 用 いた DPA は , うま くい きそう で す . 
も の を 図 10 に 示し ます . 第 7 ヵ ラ ウン ド に お いて 大 きく 変動 


し て いる の は 第 ヵ ラ ウン ド の 差分 グラ フ だ け で す . この こと の DES の 秒 密 か ぎ を DPA で 導出 する 
は , 次 に 行う DPA に お いて 推定 し た か ぎの 値 が 正しい と き 


の み 差 分 が 大 きく な り , か ぎの 値 が 正しく な いと き に は 差 いよ いよ DPA を 行い ます が , ここ で 攻撃 者 が 満た すべ 
分 が 0 に な る こと と 対応 し ます . し た が っ て , この 特徴 が き 前 提 人 条件 と し て 次 の 2 点 を 確認 し て お きま し ょ う . 


Sue 標準 的 な 選択 関数 を 用 いて DPA を 行う マ 


、 DPA は , 対象 と する 暗号 アル ゴリ ズム の 仕様 に 基づい て 選択 関数 て いま す . 例え ば , DPA の 提案 者 の Kocher 氏 は 式 A-2) を 用 いて 
を 構成 で きれ ば , 実装 の 詳細 は 不明 で も 適用 で きる 強力 な 攻撃 で す . いま すし , INSTAC 情報 標準 化 研究 セン ター) の Z80 CPU ボー ド を 


そし て , DES に 対し て 次 の 選択 関数 が 有効 と され て いま す . 用 いた サイ ド チャ ネル 攻撃 に 関す る 研究 報告 書 で は 両方 の 式 を 使用 し 
1 Oi( 衣 92 の 4 衣 X や KT の ee 《 A-1) GUO 衣 F。 
S7 三 pg Rie わが Sot X わ た is)), の と ころ が , 今回 の 実験 で 両 式 を 用 いた と ころ , 表 A-1 や 図 A-1 に 示 | 
=g mp の = AD mm 《 A-2) " す よ うに DPA は うま くい きま せん で し た . 式 A-2) で は 正しい 値 が 


式 A-1) は, 16 ラウ ンド 目 の S-Box 出力 を 利用 し て デー タ を 分 類 "た ま に 出 て くる こと も ある の で す が , 測定 デー タ を 10000 サ ンプ ル 
し ます . また , 式 A-2) は, 15 ラウ ンド 目 の 了 関数 の 入力 を 利用 し に 増やし て も ほとん ど 改 善 が 見 られ ませ ん . 

この 原因 は , FPGA で は S-Box が AND や OR と いっ た プリ ミ テ ィ 
ブ プ ・ ゲ ー ト で は な く , 本 文 の 図 3 の よう に 4 入力 1 出力 の LUT と 
MUX で 実装 され て いる た め と 考え られ ます . AND ゲ ー ト や OR ゲ 
ー ト で は , 入力 また は 出力 の 1 ビッ ト が 0 が T か に よっ で て, ゲー 
ト の スイ ッ チ ング 確率 に 025 の 差 が あり ます . これ が , DPA が 成立 
する 要因 だ と 指摘 され て いま す . これ に 対し て , 八 つ の SHBox を 構 。 
成す る , 8X 16 個 の 4 入力 1 出力 の LUT に お いて , それ ぞ れ の スイ | 
ッ ツチ ング 確率 を 調べ て みた と ころ , 表 A-2 の S1 の 例 に 示し た よう に , 
すべ て の 場合 に お いて 確率 は 05 で し た . 

また , MUX も ラン ダム な 入力 を ラン ダム に 切り 替え る だ け な の で , 
スイ ッ チ ング 確率 は 05 と な り ま す . つま り , 上 記 の 選択 関数 で は 

に Ii Sr 三 0 か Srー1 か で , S-Box 内 部 の 信号 の スイ ッ チ ング 確率 に 偏り 
の DR は あり ませ ん . その た め , 今回 用 いた FPGA 基板 で は , これ ら と 異 | 
な る 選択 関数 が 必要 と な り ま し た . 
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図 A-1 選択 関数 に よる DPA 結果 比較 
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: 表 A-1 式 A-2) に よる DPA の 結果 際 Sak の 
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、 『 表 A-2 12 図 100 図 対 | 9 図 0 了 了 除 巡 
。 LUT に マッ ピン グ し た S-Box の 5KO 1 0 1 図 象 | ム 図 OK わ 上 上 に 
0 の 回 gl| 図 5 図 M 計 < 上 
| AUGI 0 の GAn0 0 9 1 | 6 画 C 図 1 図 bs 人 < 了 図 上 < 
: 今 の 状態 が 入力 = 0( いち ば ん 上 の 行 の 状態) 、 D 図 1 較 芝 < 上 了 史 上 KK 
: の と き , スイ ッ チ ング が ある の は 前 の 状態 が 入 上 SB に 注目 し て 鐘 E 図 OM 際 上 Rx 内 
| カー 2, 3, 5, 6, 8, C, D, F」 の 8 個 で , ち 作 表し て みる 凶 1 ox 机 肌 BR 


、 よう ど 1/2 で ある . ほか の 状態 で も 同じ で ある . 
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1) 暗号 装置 内 で DES が 動作 し て いる こと を 知っ て いる . 
DES の アル ゴリ ズム は 既知 で ある が , それ 以外 の 装置 内 
部 の 知識 は 持た な い . 

2) DES 動作 中 の 測定 デー タ と 暗号 文 の ペア を 取得 で きる . 
た だ し , 秘密 か ぎ や 中 間 デ ー タ な ど 内 部 デー タ に は 直 
接 ア クセ ス で き な い . 
この 前 提 を 満た せ ば , 詳細 な 設計 図 や 回 路 図 な ど を 知ら 

な く て も 攻撃 で き て し まう と いう 点 が , DPA が 強力 で ある 

と 言わ れる 理由 で す . な お , 今回 の 実験 で は 次 の 条件 も 追 

加 し て お きま す . 

3) 暗号 装置 の DES が FPGA 上 に ルー プ ・ ア ー キ テク チャ 
で 実装 され て いる こと を 知っ て いる . 
これ ら の 条件 の も と , 測定 デー タ と 暗号 文 話 を 簡単 に 

する た め , 別途 計算 し た も の ) を 用 いて DPA を 行い ます . 


@ DPA アル ゴリ ズム を 繰り 返し 実行 し て か ぎ を 求め る 

DPA の アル ゴリ ズム を リス ト 2 に 示し ます . 

入力 m[ ] は 暗号 文 , w[ ] は それ に 対応 する 測定 デー タ , 
N は 暗号 文 の 測定 デー タ の サン プル 数 で す . b は 選択 関数 
で 使用 する ビッ ト 位置 を 示し ます . そし て , k は 48 ビ ッ ト 
の ラウ ンド か ぎの うち 6 ビッ ト の 推定 値 で す . 

6, 7 行 目 の sm は 選択 関数 で す . k の すべ て の か ぎ 候 補 
( 0~ 63) に 対し て , SF が 0O が 1 か に よっ て 上 [0] あ る 
い は [1] に 測定 デー タ を 加算 し ます . そし て , それ ぞ れ 
加算 し た 個数 を s[0] と gs [11] に カウ ント し て お きま す . し 
た が っ て , 9 行 目 の t 上 [0] /s [0] と て [1] /s [1] は SF 0 と 
SF 三 1 に 対す る 測定 デー タ の 平均 で あり , ゞ [ks] が その 差 
に な り ま す . その 後 , 11 行 目 で ゞ [kg] の 絶対 値 を 最大 値 
と する ks を , か ぎ ビ ッ ト の 推定 値 と し て 選び ます . 

DPA_ALG を 1 回 実行 する と , 48 ビ ッ ト の ラウ ンド か ぎ 
中 の 6 ビッ ト ( の 推定 値 ) が 得 ら れ ま す . うま くい け ば , 注 
目 す る ビッ ト 位置 5 を 変え て 8 回 実行 する だ け で , 正しい 
ラウ ンド か ぎ 48 ビ ッ ト が 求 ま り ます . 


リス ト 2 
DPA ア ル H 半 ey DBA ALG(m[] , w[], 
ゴリ ズム 5 Eor ks=0..63 do begin 


上 [] =0: g[]=0: 

Eor 1+=1..N do begin 
t [SF(m[i] ,ks,b) ]+= w[i] : 
S [SF (m [1] , kg,D) ] +=1 


= 上 [1]/s[1] - t[0]/s[O]: 


k = index of max(absg ( ゞ ) ) 
12: end: 
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人 @ 最終 ラウ ンド の 値 か ら 選択 関数 が 得 ら れる 

選択 関数 は , Drg [33: 64| の ある 1 ビッ ト に 注目 し て, 
16 ラ ウン ド 目 で それ が 反転 し た な ら ば ゞ 7 デ 1, そう で な け 
れ ば 7/ ニ 0 と な る よう に 定め まず 通常 の 式 と 異な る 理由 
は , p.121 の コラ バ 標準 的 な 選択 関数 を 用 いて DPA を 行 
う 」 を 参照 ). Drg [33: 64| の 1 ビッ ト の 反転 の 有無 は , S- 
Box 入力 の 1 ビッ ト の 反転 と 相関 が あり ます . 図 3 の S-Box 
( 入力 7 て 8, 出力 SO ュー 5O4) に お いて , 例え ば ビッ ト 
Ss に 注目 する と き , 9 て 97s が ラン ダム に 変化 する な ら 
ば , LUT の スイ ッ チ ング 確率 は 7。 が 反転 する か 否 か に 依 
存 し て いる は ず で す . 

な お , 図 11 で 関数 の 出力 と XOR さ れる Drg [1: 32 
の 7j4 つ 7 の 変化 も 電圧 変動 に 影響 し ます . し か し , これ 
は タイ ミン グ ・ シ ミュ レー ショ ン の 結果 か ら , 関数 の 出 
力 変化 より も ずっ と 早い 時 刻 に 起こ る こと が わか っ て いる 
の で , 選択 関数 に は 組み 込ん で いま せん . また , ラウ ンド 
か ぎの is か ら た ie へ の 変化 は つね に 一 定 な の で , この 部 分 
に 関す る 差分 は 0 だ と 考え られ ます . 

上 記 の 議論 の も と , 選択 関数 を 次 の よう に Ai4 の Ais の ち 
ビッ ト 目 と し て 定め まし た . 

SA 77, ん ヵ ) 三 大 A]4 の ) Ap, ヵ ) 09918 ( 1) 


所 4 っ 所 5 は 図 芝 号 文 出力 太 所 4 つ 且 5 の 居 移 を 軒 
rs っ 6 と 同じ 図 選択 関数 と する 図 


図 11 DES の 15~ 16 ラ ウン ド の 処理 
暗号 文 出力 有 カ か ら デ ー タ パス を 逆 に た どる こと で , 内 部 状態 の レ 
ジス タ 起 移 4 一 Rs を 選択 関数 と し て 定め る こ と が で きる . 


ここ で , 廊 は 暗号 文 64 ビ ッ ト ), : は ラウ ンド か ぎ 候 補 
( 6 ビッ ト , 0 て 63), ヵ は 注目 する ビッ ト ( 1^ 32) で す . DES 
の 出力 で ある 暗号 文選 か ら 最終 ラウ ンド の 7/」6 と Aie は 計算 
で き て も , Ai4 と As は 中 間 デ ー タ な の で , この 選択 関数 は 
計算 で き な い よう に 思え ます . し か し , 式 2) の よう に 変 
形 す る こと で , 7/is と Aie,。 ie から 選択 関数 の 値 を 求め る 
こと が で きま ポポ 図 11). 
SE ん の 三 g 放 Ai4 わ Ais, の ) 
三 g 放 7j5 わ 76, の ) …《 の ) 
三 p 放 Ae わ je, Kie) わ 76 5) 
さら に , 関数 を S-Box 単位 に 分 解す る と , $7 の 計算 に 
は , Aies の 1 ビッ ト , is の 7 ビッ ト , is の 6 ビッ ト が あれ 
ば よい こと が わか り ま す . 


念 3.000 サ ンプ ル で 56 ビッ ト か ぎの 探索 が 可能 
S-Box{ S1) の 出力 4 ビッ ト が 影響 する パス の 一 つ に 注目 
し て , リス ト 2 で 求め て いる 差分 値 マ [ks ks=0~ 63) の 
絶対 値 を グラ フ に し た も の を 図 12 に 示し ます . ks = 50 で 
ビ ピーク が 出 て いる の で , S1 に 関係 する 6 ビッ ト の か ぎ は 50 
で ある と 推定 で きま す . ほか の か ぎ ビ ッ ト も 同じ よう に 求 
め る こと で , ラウ ンド か ぎ je の 全 ビ ッ ト を 推定 で きま す . 
表 2 は , 八 つの S-Box 1 58) の 各 4 ビ ッ ト 出力 が 影響 
する パス に 注目 し て , サン プル 数 1.000 個 と 3000 個 で DPA 
を 行っ た 結果 で す . 一 つの S-Box に 対し て 6 ビッ ト の か ぎ 
推定 値 が 四 つ ず つ 求 まり ます . 表 2 で は , いく つか の 誤 判 
窟 灰色 で 示し た 部 分 ) が 起き て いま す が , 多数 決 を と れ ば 
すべ て 正しい か ぎ が 得 ら れ ま す . また , サン プル 数 を 増 や 
す ほ ど 判 定 の 精度 は 上 が る こと が わか り ま す . これ で 6 ビ 


図 両 立 具 汁 若 


か ぎ 候 補 & 0 一 63) 図 
12 か ぎ 候 補 ご と の 最大 差分 値 サン プル 数 3.000) 
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特集 2 ))) SI を : 盗 聴か ら 中 る 


較 障 号 回 路 べ の サイ ド チ ャ ネル 攻撃 と その 対策 


ッ ト X 8 テ 48 ビ ッ ト の ラウ ンド か ぎ が 判明 し まし た. 

次 に , 秘密 か 茅 56 ビ ッ ト ) の 残り 8 ビッ ト を 総 当 た り 
( 28 三 256 パ ター ン ) で 調べ ます . この 8 ビッ ト が 求 ま ら な 
い 場 合 は , 下記 の よう な 方 法 を と り ま す . 

e DPA で 誤 判 定 を 抑え る た め , サン プル 数 を 増やす 
誤り が 多かっ た S-Box に 対す る か ぎ 6 ビッ ト を 含め て , 
未定 の ビッ ト を 総 当 た り で 探索 する 
e 補助 的 に 別 の 選択 関数 を 試し て みる 

な お , 総 当 た り の 探索 で は 平文 と 暗号 文 の ペア が 少な く 
と も 一 つ 必 要 で す が , 平文 が 得 ら れ な い 場 合 , 15 ラ ウン ド 
目 の 波形 を 用 いた DPA で 残り の 8 ビッ ト を 求め る こと も で 
きま す . 
以上 の よう に , 本 実験 で は , 1.000~ 3000 サ ンプ ル 程 度 
の 測定 デー タ に よっ て , DES の 秘密 か ぎ 56 ビ ッ ト を すべ 
て 求め る こと が で きま し た . また , 図 13 に 示す よう に , 電 
磁 波 の 場合 も 同じ 手順 で ほぼ 同じ 精度 エラ ー・ レ ー ト ) で 
秘密 か ぎ を 推定 する こと が で き , 多数 決 で すべ て の ビッ ト 


表 2 
か ぎの 推定 結果 


図 難 プ ミ K・ーMIH 


1 1 1 1 こ 
5 |----ーー ネ ーー ニー ニー に ーー ニーーー キ ーー ニー ニ ーー! ニ ーー ニー ニー ニー キー ニー ニー コー ニー ニー ニー ニー ヒー ニー ニー ゴ 
1 1 1 1 1 1) 


サン プル 数 図 
図 13 電圧 と 電磁 波 の DPA 結果 


測定 デー タ の サン プル 数 を 横 軸 に , エラ ー の 数 を 縦 軸 に プロ ッ ト し た . 電圧 
電磁 波 で DPA の 精度 は まっ た く 同じ で ある こと が わか る . 
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アッ 
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正しく 求 ま り まし た . 


ら 暗号 回 路 設 計 に トラ イ ! 


本 実験 に よっ て , LSI は 電力 消費 や 電磁 波 放 射 な ど , 本 
来 の デー タ 入出 力 チ ャ ネル で は な い サ イド チャ ネル を 介し 
て , 内 部 の 動作 状態 を 外 に 伝え て いる こと が よく わか っ た 

と 思い ます . 1 回 の 測定 で は ノイ ズ に 隠れ て し まう わずか 
な 情報 で さえ , 測定 デー タ を 集め て 統計 処理 する こと で か 
ぎの 情報 を 暴き 出し て し まい ます . サイ ド チャ ネル 攻撃 は 
同じ か ぎ を 繰り 返し 使用 する 暗号 回 路 に と っ て まさ ! 5 
で す . し か し , この 分 野 の 研究 が ここ 数 年 活発 に 行わ 
攻撃 法 だ け で な く 対策 法 も 数 多く 提案 され て いま す . そし 

て , 暗号 処理 を 行う 高 機能 な 暗号 装置 な ど に は , すでに い 
くつ か の 対策 法 が 組み 込ま れ て いま す . 


人 @ 安全 な 暗号 製品 の 実現 に 向け て 

今回 の 実験 で 使用 し た FPGA 基板 は , 電磁 波 を シー ルド 
する よう な 人 筐 体 に 入っ て いま せん . また , バイ パス ・ コ ン 
デン サ の 除去 や 動作 クロ ッ ク の 調節 な ど , 攻撃 者 に と っ て 
非常 に 有利 な 条件 で 動作 波形 の 測定 を 行っ て いま す . し た 
が っ て , 今回 の 実験 結果 は , 実際 の 暗号 製品 に その まま 適 
用 で きる と は か ぎり ませ ん . また , 従来 の 解析 に 使用 され 
て いた 選択 関数 で は DPA が 失敗 し た よう に , サイ ド チ ャ 
ネル 攻撃 が うま くい く か どう か は , LSI の アー キテ クチ ャ 
の 違い に も 大 きく 依存 し ます *2. 

サイ ド チャ ネル 攻撃 に つい て 実際 の セキ ュ リ ティ 製品 を 
解析 する の は 問題 が 多い た め , アル ゴリ ズム に よる 対策 法 
は 数 多く 提案 され て いま す が , 回 路 実装 や 測定 法 の ノウ ハ 
ウ は まだ あま り 公開 され て いま せん . また 製品 レベ ル で は , 
実装 し た 対策 法 や アー キテ クチ ャ を 公開 し な けれ ば 攻撃 者 
に 与え る 情報 が 少な い の で , 今 の と ころ その ほう が 安全 と 
言え る か も し れ ま せん . 

同じ よう に , 暗号 アル ゴリ ズム も 非 公開 に こし た ほう が 安 
全 と 考え る 人 も 半 あり ませ ん . し か し , 非 公開 の 暗号 
アル ゴリ ズム は 専門 家 に よる 十分 な 検証 が 行わ れ て いな い 
た め , それ が 外部 に 漏れ て , あっ と いう 間 に 破 られ て し ま 
うと いっ た ケー ス も 珍し く あ り ま せん . そこ で , AES 


注 2: 本 誌 2003 年 10 月 号 付録 の FPGA 基板 米国 Altera 社 の EPC1C3 搭 載 ) 
を お 持ち の 方 は , そちら で も 同じ よう な 実験 を 行っ て みる と お も し ろ 
い だ ろ う . アー キテ クチ ャ の 違い が 動作 波形 や 解析 結果 に どう 影響 す 
る か な ど , きっ と 興味 深い 結果 が 得 ら れる に 違い な い . 
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( Advanced Encryption Standard) を は じ め と する 多く の 標 
準 ア ル ゴ リ ズム は , 公開 の 場 で 解析 評価 が 行わ れ て いま す . 
サイ ド チャ ネル 攻撃 へ の 対策 法 も , 暗号 アル ゴリ ズム の 
安全 性 の 検証 と 同じ よう に , 第 三 者 に よる 適切 な 評価 が 不 
可 欠 で す . そこ で 1SO/IEC 15408 の 評価 機関 で は , その た 
め の ノ ウ ハ ウ の 共有 を 進め て いま す . また , 米国 の NIST 
( National Institute of Standards and Technology), そ 
し て 日 本 の CRYPTREC Cryptographic Research and 
Evaluation Committee) や INSTAC も , サイ ド チャ ネル 
攻撃 の 研究 ・ 調 査 お よび 暗号 モジ ュー ル の 実装 の 安全 性 に 
関す る 評価 基準 の 策定 ( - 穫 こ 取り 組ん で いま す . 
暗号 の 研究 は , これ まで 数 学者 ある い は 暗号 学者 ) を 中 
心 に 行わ れ て きま し た . し か し , さま ざま な 家電 製品 に 暗 
号 が 組み 込ま れ , また サイ ド チャ ネル 攻撃 が 登場 し た こと 
で , 回 路 実装 面 か ら の 研究 が 重視 され て き て いま す . ハー 
ドウ ェ ア ・ エ ンジ ニア の みな さん も 暗号 の 世界 に 一 歩 足 を 
深み 出し て みて は いか が で し ょ うか . 


参考 ・ 引用 * 文献 

( 1) P. Kocher, J. Jaffe, B. Jun : DiTerential Power Analysis, 
CRYPTO99, LNCS 1666, pp.388-397, Springer-Verlag, 1999. 

( 2) 森岡 澄夫 : HDL に よる 高 性 能 デ ィ ジ タル 回 路 設計 , p.102, CQ 
出版 社 , 2002 年 . 

( 3) K. Gandolfi, C. Mourtel F. Ohivier: Electromagnetic 
Analysis : Concrete Results, CHES2001, LNCS 2162, pp.251- 
261, Springer-Verlag, 2001. 

( 4) 総力 特集 第 2 章 本 誌 付属 Spartan-3 基 板 の 概 要 , Design Wave 
Magazine, 2005 年 1 月 号 , pp.29-34. 

( 5) 酒井 , 佐伯 , 鈴木 , 佐藤 : 現実 の 脅威 サイ ド チャ ネル 解析 , 
経 エ レク トロ ニク ス , 2005.7.18 号 ~ 20058.15 号 . 


た か は し ・ よ し お 

( 株 ) NTT デ ー タ 技術 開発 本 部 

さと う ・ あ か し 

日 本 アイ ・ ビ ー・ エ メア 株 ) 東京 基礎 研究 所 


/ ぐ 筆者 プロ フィ ー ル ン 
高橋 芳夫 . 大 学卒 業 後 , NTT デー 多 当時 , NTT デー タ 通 信 ) 
に 入社 . 製品 開発 と 評価 に 従事 する . CRYPT REC 暗 号 モ ジュ ー 
ル 委 員 と な っ た の を 契機 に サイ ド チャ ネル 攻撃 に 興味 を 持ち , 現 

在 勉強 中 . 

佐藤 証 . 論理 式 か ら LSI の マス ク ・ パ ター ン を 直接 描く 特殊 能 

を 持つ 私 で す が , 今回 は その 回 路 の 電磁 波 を イメ ー ジ で きる ステ ー 

ジヘ ステ ッ プ ・ ア ッ プ し まし た . 一 動作 波形 か ら 暗号 か ぎ を ピタ リ 

と 言い 当て る レベ ル ま で , あと 一 歩 で す . 


